注册表攻与防

IT商界

乔珊

　　注册表是Windows操作系统的信息存储中心，存放着包括计算机硬件配置、已安装软件的设置信息、当前用户的环境设置及某些文件类型和对它进行访问及操作的应用程序之间的联系等等许多重要信息。注册表的损坏，会导致系统的完全崩溃。因此，许多老鸟、大虾围绕着注册表进行着一场永无休止的较量，新招、怪招可谓层出不穷。只见烽烟四起、战火纷飞、硝烟弥漫、弹片四溅，惊天地、泣鬼神。

　　许多老鸟、大虾为防止他人修改自己的注册表，最常用的一招是锁定注册表。进入注册表编辑器，依次展开：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]，在右边窗口中新建一“DWORD”值，命名为“DisableRegistryTools”，并将其值设为“00000001”，此时注册表已被锁定。如果有人试图在运行菜单中键入“REGEDIT”，进入注册表，系统将弹出“注册编辑已被管理员所禁止”警告性信息。

　　进攻：在纯DOS方式下转到Windows目录，运行Scanreg/restore，选定以前备份的注册表，恢复即可。

　　防守：删除Scanreg.exe文件。用记事本打开C盘，可以用目录下的Autoexec.bat文件，输入以下内容：

　　@ECHO OFF

　　start.exe /m deltree /y c:\windows\command\scanreg.exe /q /u

　　这样，每次开机系统就会自动删除Scanreg.exe文件。

　　进攻：用记事本输入以下内容：

　　REGEDIT

　　(此处空一行)

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　DisableRegistryTools =DWORD:00000000

　　后面加上一行空格，或按一下回车键，输入完成后另存为UNLOCK.REG，双击执行即可。

　　防守：禁止使用*.REG文件。想用通过编辑REG文件，然后导入注册表的办法来解锁，没门儿。进入注册表编辑器，找到[HKEY_Local_Machine\Software\CLASSES\.REG]，将“默认”字符串的值由“regfile”改为“textfile”、“Winrar”等其他类型即可。

　　解锁方法3：在纯DOS模式下，以命令行的形式使用。

　　如：REGEDIT/D HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrnetVersion\Policies\System\Disableregistrytools=DWORD:00000000

　　防守：禁止系统进入DOS模式[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRealMode]，使它的值等于“00000001”。

　　至此，防守者已将注册表锁死，删除了Scanreg.exe文件、禁止使用REG文件来导入注册表文件、禁止系统切换到纯DOS模式，好像是注册表已经固若金汤了。其实不然，笔者从脚本型病毒“新欢乐时光”联想到用编写脚本程序来破解之。打开编辑器(如记事本)，输入以下内容：

　　Dim A

　　Set A=CreateObject("WScript.Shell")

　　Rem Write egedit

　　A.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools", "00000000","REG_DWORD"

　　A.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\WinOldApp\NoRealMode", "00000000","REG_DWORD"

　　A.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\WinOldApp\Disabled", "00000000","REG_DWORD"

　　A.RegWrite"HKEY_LOCAL_MACHINE\Software\CLASSES\.REG","","REGFILE"

　　编辑完毕后，存为UNLOCK.VBS，双击执行即可。注意，文中所用到的"_"是在英文状态下用"Shift"+"-"输入的，而不是在中文状态下用"-"键输入的，否则不起作用。

　　行文结束时，笔者又发现了一种更好的开锁方法。用INF文件解决：

　　打开记事本，输入以下内容：

　　[version]

　　signature="$chicago$"

　　[defaultinstall]

　　delReg=DeleteMe

　　[DeleteMe]

　　"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableregstryTools"

　　另存为UNLOCK.INF，右键单击，选"安装"即可。